特定の組織をピンポイントで狙う「標的型攻撃」が急増している。だが、防御策はまだ完全に確立されていないのが実情だ。そこでITpro Activeは2014年7月29日、3回目となる標的型攻撃対策向けの製品選択支援セミナー「標的型攻撃への対策~脅威への対策製品の特長と製品選択のポイント~」を東京で開催した。
基調講演では、サイバーディフェンス研究所の名和利男氏が、標的型攻撃への対処活動から得られた具体的な教訓を示した。続いて、主要ベンダー4社が標的型対策製品の特徴を紹介。最後に『日経コンピュータ』の勝村幸博副編集長が、標的型攻撃の新たな手口の動向を解説した。
基調講演
手の込んだ標的型攻撃は手段が見えず検知が難しい
基調講演では、サイバーディフェンス研究所の名和氏が登壇した。名和氏は、企業からマルウエア感染の相談を受け、これに対処している。2014年に入ってからの出動回数は121回に及ぶという。1日に数回のペースである。講演では、いくつかのインシデントについて経験談と、得られた教訓を明かした。
名和 利男氏
最初に名和氏は、セミナー当日の朝に解析したばかりというマルウエア事例を紹介した。通常のマルウエアには、通信先のサーバーのドメイン名やIPアドレスが直接埋め込まれているものだが、このマルウエアは違っていた。ドメイン名から得られたIPアドレスに特定の方程式を適用して算出したIPアドレスに向けて通信していた。
これは、マルウエアの痕跡が見つからないようにする工夫である。マルウエア自身がIPアドレスを変換し、目的のIPアドレスを動的に生成する。しかも、変換元のIPアドレスは、パソコンのローカルDNSキャッシュに乗っているような“著名な”Webサイトのもの。これを特定のルールで変換していた。
名和氏が2014年6月に対応したマルウエア感染事例は、心が痛むものだったという。26歳の会社員がマルウエアを作成し、上長である部長のパソコンに埋め込んでいた。これにより、部長は情報漏えいを起こして解雇された。名和氏が調査したところ、マルウエアが仕込まれていた。26歳の会社員の動機は、うっぷん晴らしだった。
最も記憶に残るインシデントを紹介
名和氏は次に、最も記憶に残っているというインシデント対応について詳しく紹介した。あまりにも攻撃が複雑で立てこんでいたために、レポートにまとめたものの、ユーザー企業側の誰も、攻撃のからくりを理解できなかったという。
この事例では、ある日の午前零時頃に名和氏のもとに連絡があった。マルウエアに感染しているらしいので、感染経路の特定と、被害額の試算を頼みたいという。現象としては、ウイルス対策ソフトがその4日前からアラートを出し始め、対処後もアラートは続いているということだった。
この会社に到着した名和氏は、ネットワーク通信も含めて調査した(この会社では、アラートを出しているパソコンだけを調査しており、ネットワークの調査を躊躇していた)。すると、プロキシサーバーのログから、マルウエアの通信先である管理サーバー(C&Cサーバー)とのやりとりの実態が分かった。C&Cサーバーは、マルウエア感染のアラートが出ていた端末Aだけでなく、別の端末Bとも通信していたのだ。
端末A、端末Bについてフォレンジック(ハードディスク上にある全データの徹底調査、1台当たり200万円程度の費用が必要)を実施したが、いずれもマルウエアは見つからなかった。だが、不可思議なアプリケーションの実行ログが見つかった。そこで芋づる式に、複数の端末にフォレンジックをかけたところ、ようやく攻撃の概要が見えてきた。
この先は日経クロステック Active会員の登録が必要です
この記事に関連する資料
ブルーコートシステムズ
【解説】世界のリーディング企業や政府機関が採用、高度な脅威検出のためのセキュリティ基盤